安全研究人员近日披露了一种名为“Cookie-Bite”的新型攻击方式，通过恶意Chrome扩展程序窃取微软Azure Entra ID的会话Cookie，从而绕过多重身份验证（MFA）保护，持续访问Microsoft 365、Outlook和Teams等云服务。

该攻击由Varonis团队开发，利用扩展程序窃取“ESTAUTH”和“ESTSAUTHPERSISTENT”两种关键Cookie。前者为临时会话令牌，后者在用户选择“保持登录”时生成，有效期长达90天。攻击者可通过监听登录行为、窃取Cookie并伪装成受害者身份，直接获取完整访问权限。

研究显示，此类扩展程序目前难以被安全软件检测，且攻击者可利用脚本实现持久化攻击。除微软服务外，该技术还可能威胁Google、Okta等平台。专家建议用户警惕不明浏览器扩展，并加强会话监控。